Celní správa bezpečnostním problémem

Připojování interního serveru k poskytovateli služeb třetí strany je důvodem ke znepokojení. Jednou z mých povinn...


Připojování interního serveru k poskytovateli služeb třetí strany je důvodem ke
znepokojení.

Jednou z mých povinností vyplývajících z pozice bezpečnostního manažera je
schvalovat požadavky změny v konfiguraci firewallu. Se sedmnácti firewally
roztroušenými po celém světě mi může hodnocení takových požadavků zabrat hodně
času. To mi ale nevadí, protože mi tento proces pomáhá udržet si povědomí o
některých obchodních činnostech v rámci firmy. Tak například bylo to právě
prostřednictvím procesu zpracování požadavku na změnu, kdy jsem si uvědomil, že
se od nás vyžaduje, abychom celní správě podávali reporty s informacemi o
dodávkách zboží.
Jak jsem už zmiňoval, vyrábíme systémy používané při výrobě polovodičů. Jsme
nuceni informovat vládu skoro pokaždé, když dodáváme vybavení do jiné země. Pro
zpracování našich prodejních objednávek používáme software firmy SAP. Ten
obsahuje modul celní správy, který nám usnadňuje tisk požadovaných dokumentů, a
také automatizovanou proceduru Automated Export System (AES), jež je určena k
zasílání tranzitních hlášení elektronickou cestou. AES používáme, a to je
důvodem nejnovějšího požadavku na změnu.
V současné době pracujeme s vytáčeným připojením k serveru celníků, hostovanému
třetí stranou, neboť celní správa nemá zdroje na to, aby reportingovou
infrastrukturu sama hostovala. O tom všem jsem se dověděl, když jsem jednoho
dne hodnotil požadavek na změnu, díky níž by měl být otevřen náš firewall tak,
aby dovolil jednomu z našich SAP serverů vytvořit spojení formou virtuální
privátní sítě (VPN) k externímu serveru. SAP server je umístěn v naší interní
chráněné síti. Zeptal jsem se, proč právě jeden z našich kritických serverů
potřebuje vytvářet odchozí spojení, přičemž inženýr, od nějž požadavek
pocházel, mi vysvětlil, že celní správa ukončuje podporu vytáčeného připojení
pro přenos informací o dodávkách. Namísto toho budeme muset k tomu, abychom
předali požadované informace, využívat VPN tunel.
Po několika kolech výměny e-mailových zpráv s tímto inženýrem jsem jej zavolal
ke krátké poradě, abych byl schopen požadavku plně porozumět. (To dělám docela
často kdykoliv se série e-mailů na určité téma nahromadí v množství, které by
vydalo na malý román.) Říkal jsem si, že kdyby jediným účelem VPN bylo přenášet
informace týkající se dodávek, proč bychom potom spojení nemohli vytvořit vždy
pouze jednou za den? Stejně tak jsem chtěl vědět trochu více o příslušném
klientovi.
Odpovědi jsem dostal a docela mě znepokojily. Jak se ukazuje, budeme muset
vytvářet spojení každou půlhodinu na 15 minut. Navíc zde existuje zpětný provoz
ze serveru celní správy, který k nám vysílá reporty ohledně potvrzení přijetí.

Mrzuté důsledky
Neměl jsem z toho žádnou radost. Pokud by tím, co je potřeba, bylo jen odchozí
spojení realizované jednou za den na 15 minut, mohli bychom zavést nějaké
serverové restrikce, abychom zabránili paketům odesílaným z externí lokality,
že dosáhnou na naší interní infrastrukturu. Avšak nutnost pravidelně vytvářet
spojení během dne ohrožuje naši schopnost omezit přijímání nepatřičných paketů.
Jen to, že je VPN tunel zašifrovaný, neznamená, že jeho prostřednictvím nemůže
být prováděna nějaká škodlivá aktivita. VPN zajišťuje jen to, že je provoz
přenášený z jednoho bodu do druhého zašifrovaný a nezměněný. Navíc nemohu
zaručit integritu systémů poskytovatele služeb třetí strany nebo bezúhonnost
jeho zaměstnanců.
A jsou zde další problémy. Nejenže je prostředí serveru SAP integrální součástí
infrastruktury naší firmy, ale tyto servery jsou také zahrnuty do našich auditů
podle zákonné normy Sarbanes-Oxley. Pokud při auditu neuspějeme, protože jsme
nezabezpečili všechna externí připojení, mohl bych se dostat do velkých
problémů. A co víc, za politiku, která bude aplikována na VPN klienta, je
zodpovědný externí poskytovatel služeb. My klienta jednoduše nainstalujeme,
nasměrujeme ho na firewall onoho providera a poskytneme uživatelské ID a heslo.
Nebudeme mít ani potuchy o tom, jaká je konfigurace firewallu poskytovatele
služeb, nebo o jakýchkoliv detailech ohledně politiky, která bude aplikována na
naše VPN připojení.
Požádal jsem proto inženýra zodpovědného za tuto iniciativu, aby na
poskytovatele služeb zatlačil a získal od něj detaily o konfiguraci, již budou
používat. Rovněž uvažuji o tom, že bych server SAP, o který se jedná, umístil
do něčeho, co s oblibou nazývám jako "špinavou subsíť". To by nám umožnilo
umístit firewall mezi systém SAP, který je využíván výhradně pro reportování
celní správě, a naše kritické prostředí SAP.
Naštěstí máme k dispozici nějakou dobu, než celní správa oficiálně ukončí
podporu vytáčeného připojení, takže budeme schopni plně posoudit konfiguraci a
pokusit se zhodnotit poskytovatele služeb, k němuž celní správa outsourcovala
tuto infrastrukturu.

Pohled dopředu
Na své současné pozici jsem nyní již šestý měsíc. Získal jsem docela dobrý
přehled o naší síťové infrastruktuře a různé kontaktní body v rámci firemních
jednotek. Jedním z mých plánů pro nejbližší budoucnost je zpracovat kompletní
seznam pro kontrolu přístupů na firewall, abych plně pochopil, jaké druhy "děr"
v našem prostředí máme. To rozhodně není snadná úloha a najít si čas, abych
realizoval tento úkol, pro mě může být velkou výzvou. Možná si na pár týdnů
najmu smluvního partnera, aby za mě provedl audit nebo mi alespoň poskytnul
smysluplný obrázek infrastruktury našich firewallů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.